«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ"

Transcription

1 «Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

2 Sommaire PARTIE 1 : Fiches Thématiques page 2 Fiche n 1 : Définitions des notions-clés de la loi «Informatique et Libertés» page 2 Fiche n 2 : Principes de la protection des données personnelles page 5 Fiche n 3 : Rôle de la CNIL pour défendre ces principes page 8 Fiche n 4 : Correspondant Informatique et Libertés page 10 PARTIE 2 : FICHES PRATIQUES page 12 Fiche n 5 : Enregistrement et utilisation du numéro de sécurité sociale page 12 Fiche n 6 : Utilisation de la photographie d une personne page 14 Fiche n 7 : Mise en place d un annuaire des élèves page 15 Fiche n 8 : Enquêtes statistiques portant sur le devenir professionnel et le suivi de cohortes d élèves page 17 Fiche n 9 : Mise en place des espaces numériques de travail (ENT) page 19 Fiche n 10 : Contrôle de l utilisation des moyens informatiques page 21 Fiche n 11 : Diffusion des résultats d examen et des notes page 25 Fiche n 12 : Communication à des tiers autorisés d informations relatives aux personnels et aux élèves page 27 Fiche n 13 : Conditions d accès des collectivités locales aux fichiers d élèves page 30 Fiche n 14 : Utilisation de la biométrie page 32 Fiche n 15 : Dispositifs de vidéosurveillance page 34 PARTIE 3 : Fiches de sensibilisation page 37 Fiche n 16 : Commission locale Informatique et Libertés (CLIL) page 37 Fiche n 17 : Création de sites internet page 39 Fiche n 18 : Les obligations du blogueur page 41 Fiche n 19 : Protéger sa vie privée sur internet page 42 ANNEXES page 46 Annexe n 1 «Mode d emploi : comment déclarer?» page 46 Annexe n 2 Tableau récapitulatif : Dois-je déclarer mon fichier à la CNIL? Comment? page 48 Annexe N 3 Modèles de clauses ou de mentions d information page 50 Annexe n 4 Lexique page 53 Ce guide est téléchargeable sur le site Internet de la CNIL :

3 Avant-propos Un recours croissant à l usage des technologies de l information exige que chacun de nous respecte les principes du droit à la protection des données personnelles dans ses deux volets : droits individuels et obligations. C est à ce prix que nos sociétés innoveront et se développeront dans le respect de la vie privée et des libertés des personnes. En la matière, le rôle du chef d établissement, de son équipe et celui de la CNIL sont analogues pour faire en sorte que chaque citoyen, administré et futur citoyen maîtrise ces nouveaux outils et soit sensibilisé aux risques éventuels qu ils peuvent représenter. A V A N T - P R O P O S La loi «Informatique et Libertés» du 6 janvier 1978, modifiée par la loi du 6 août 2004, définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce les droits des personnes, prévoit une simplification des formalités déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL. Enfin, la création de la fonction de correspondant à la protection des données personnelles est l occasion de diffuser la culture Informatique et Libertés. C est dans ce cadre que ce guide pratique a été rédigé afin d apporter une réponse concrète à vos questions, que ce soit au sein de l établissement (espace numérique de travail) ou à l extérieur (sensibilisation des mineurs aux mesures à prendre pour éviter les risques d atteinte à la vie privée). Bien entendu, ce guide peut également soulever des questions, nous sommes à votre disposition pour y répondre. Alex Türk Président de la CNIL 1

4 PARTIE 1 : Fiches Thématiques Fiche n 1 : Définitions des notionsclés de la loi «Informatique et Libertés» La loi «Informatique et Libertés» est applicable dès lors qu il existe un traitement automatisé ou un fichier manuel, c est-à-dire un fichier informatique ou un fichier «papier» contenant des informations personnelles relatives à des personnes physiques. A noter : Ne sont pas soumis à la loi les «traitements mis en oeuvre pour l exercice d activités exclusivement personnelles» tels que par exemple les agendas électroniques, les répertoires d adresses, les sites internet familiaux en accès restreint. Traitement de données à caractère personnel Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction. Exemples : Fichiers de gestion des étudiants et des personnels, annuaires en ligne des anciens diplômés, espaces numériques de travail. Donnée à caractère personnel Des données sont considérées comme à caractère personnel dès lors qu elles permettent d identifier directement ou indirectement des personnes physiques (ex. : nom, n d immatriculation, n de téléphone, photographie, éléments biométriques tels que l empreinte digitale, ADN, informations permettant de discriminer une personne au sein d une population telles que, par exemple, le lieu de résidence, la profession, le sexe, l âge, etc.). Il peut en effet s agir d informations qui ne sont pas associées au nom d une personne mais qui peuvent permettre de l identifier et de connaître ses habitudes ou ses goûts. Exemples : «Le propriétaire du véhicule 3636AB75 est abonné à telle revue» ou encore «l assuré social va chez le médecin plus d une fois par mois». A noter : La loi «Informatique et Libertés» ne s applique pas aux personnes morales (ex. : fichier de noms de sociétés, sauf s il contient des noms de personnes physiques comme le nom du responsable commercial). F i c h e n 1 : D é f i n i t i o n s d e s n o t i o n s - c l é s d e l a l o i «I n f o r m a t i q u e e t L i b e r t é s» Guide Pratique «Informatique et Libertés» 2

5 Responsable du traitement Est considéré comme le responsable du traitement la personne physique ou morale qui détermine les finalités et les moyens de toute opération (collecte, enregistrement, modification...), appliquée à des données à caractère personnel. Le responsable du traitement est la personne pour le compte de laquelle est réalisé le traitement. Afin de déterminer l identité du responsable du traitement, il est possible de faire appel aux critères suivants : - celui de la «maîtrise d ouvrage» du traitement : à quoi servira-t-il et comment fonctionnera-t-il? - celui de la «mise en œuvre» du traitement : qui décide de s en servir et qui s en sert? Exemple : En application de l article R du code de l éducation, le chef d établissement est le représentant de l État et l organe exécutif de l établissement public local d enseignement (E.P.L.E) ; à ce titre, il détient la responsabilité de décider la création d un traitement de données à caractère personnel et de procéder aux formalités liées à sa déclaration auprès de la CNIL. En pratique : Le responsable du traitement sera notamment la personne en charge : - de veiller au respect des principes de la protection des données personnelles ; - d informer les personnes au sujet de l existence de leurs droits d accès, de rectification et d opposition ; - de désigner, le cas échéant, un Correspondant Informatique et Libertés ; - de procéder à l accomplissement des formalités auprès de la CNIL, sauf en cas de désignation d un Correspondant Informatique et Libertés (1). Le responsable du traitement doit être distingué des personnes qui interviennent dans le cadre de sa mise en œuvre telles que, par exemple, les sous-traitants. Le sous-traitant est un exécutant extérieur qui ne peut agir que sous l autorité du responsable du traitement et sur instruction de celui-ci. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la loi. La sous-traitance ne décharge pas le responsable du traitement de sa responsabilité (2). Exemple : Dans le cas d un hébergement externe de l un des sites web de l établissement scolaire, l hébergeur est considéré comme le sous-traitant. 1 Dans le cas de demande d avis ou de demande d autorisation, les formalités déclaratives auprès de la CNIL subsistent. 2 Se reporter à l annexe 3 : modèle de clause de confidentialité dans le cadre d un marché ou d un contrat de sous-traitance. F i c h e n 1 : D é f i n i t i o n s d e s n o t i o n s - c l é s d e l a l o i «I n f o r m a t i q u e e t L i b e r t é s» 3

6 Comment déclarer les transferts de données? Lorsque le transfert de données concerne un pays de l Union européenne, il n a pas à être autorisé par la CNIL. En cas de transfert de données en dehors de l Union européenne, le responsable de traitement (ex : hébergeur du site internet), doit le préciser sur le formulaire de déclaration et remplir une annexe «transfert». Il doit aussi préciser les garanties de protection des données : existence de clauses contractuelles types issues des directives européennes, ou de règles internes d entreprise (BCR), adhésion au safe harbor du destinataire des données. Le transfert doit ensuite faire l objet d une autorisation par la CNIL, sauf dans certains cas bien spécifiques (par exemple : entreprise destinataire adhérente au safe harbor). Pour toute information complémentaire sur ces questions, consulter le dossier «International» ou le «Guide sur les transferts de données à caractère personnel vers des pays non-membres de l Union européenne» sur le site internet de la CNIL. F i c h e n 1 : D é f i n i t i o n s d e s n o t i o n s - c l é s d e l a l o i «I n f o r m a t i q u e e t L i b e r t é s» Guide Pratique «Informatique et Libertés» 4

7 Fiche n 2 : Principes de la protection des données personnelles Les informations que les établissements de l enseignement secondaire traitent informatiquement pour remplir leurs missions de service public doivent être protégées parce qu elles relèvent de la vie privée et parce que leur divulgation est susceptible de porter atteinte aux droits et libertés des personnes concernées. La loi «Informatique et Libertés» a défini les principes à respecter lors de la collecte, du traitement et de la conservation de ces données. La loi prévoit également un certain nombre de droits pour les personnes dont les données personnelles ont été recueillies. Le respect, par les établissements de l enseignement secondaire des règles de protection des données à caractère personnel est un facteur de transparence et de confiance à l égard des personnes (étudiants, personnels). C est aussi un gage de sécurité juridique pour les directeurs d établissement qui, responsables des fichiers mis en œuvre, doivent veiller à ce que la finalité de chaque traitement informatique et les éventuelles transmissions d informations soient clairement définies, les dispositifs de sécurité informatique précisément déterminés et les mesures d information des usagers appliquées. 1. Le principe de finalité : une utilisation encadrée des fichiers Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l établissement, responsable du traitement. C est au directeur d établissement qu il appartient de fixer la finalité des traitements mis en œuvre pour le compte de son établissement et de la faire respecter. A noter : Tout détournement de finalité est passible de sanctions pénales. Exemple : Le fichier de gestion administrative et pédagogique des élèves ne peut être utilisé à des fins commerciales ou politiques. 2. Le principe de proportionnalité Seules doivent être enregistrées les informations pertinentes et nécessaires pour assurer la gestion des services de l établissement scolaire. Exemple : Demander le revenu des parents de l élève pour recevoir la «newsletter» de l établissement n est ni pertinent ni nécessaire au regard de la finalité poursuivie par le traitement. F i c h e n 2 : P r i n c i p e s d e l a p r o t e c t i o n d e s d o n n é e s p e r s o n n e l l e s 5

8 3. le principe de durée limitée de conservation des données : «le droit à l oubli» Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Exemple : Les informations collectées dans le cadre de l organisation d un examen sont conservées pour la durée de la session de l examen. Au-delà, les données peuvent être archivées, sur un support distinct (3). 4. Le principe de sécurité et de confidentialité Le directeur d établissement, en tant que responsable du traitement, est astreint à une obligation de sécurité : il doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation. Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder en raison de leurs fonctions. Exemple : Veiller à ce que chaque utilisateur ait un mot de passe individuel régulièrement changé et que les modalités d accès soient précisément définies en fonction des besoins réels. Le responsable du traitement doit prendre toutes les mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. Exemple : S il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées (4). Les mesures de sécurité, tant physiques que logiques, doivent être prises. Exemple : Protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe alphanumériques d un minimum de 8 caractères. Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement. Exemple : Authentification forte pour l accès aux résultats d examen, chiffrement des coordonnées bancaires transitant sur internet. F i c h e n 2 : P r i n c i p e s d e l a p r o t e c t i o n d e s d o n n é e s p e r s o n n e l l e s 3 La durée de conservation déclarée dans le dossier de formalité adressé à la CNIL ou dans le registre du CIL doit correspondre à la période durant laquelle les données restent accessibles ou consultables directement par le personnel, par opposition avec la période d archivage des données pendant laquelle celles-ci ne sont plus destinées à être utilisées à des fins de gestion et sont de ce fait, conservées sur un support distinct au sein d un service d archives. Se reporter à l instruction ministérielle sur l archivage (référence : DAF DPACI/RES/2005/003 du 22 février 2005). 4 Voir annexe 3 : modèle de clause de confidentialité dans le cadre d un marché ou d un contrat de sous-traitance. Guide Pratique «Informatique et Libertés» 6

9 5. Le principe du respect du droit des personnes a) Informer les intéressés Lors de l informatisation de tel ou tel service, ou lorsque des données sont recueillies par exemple par voie de questionnaire, les usagers concernés et le personnel de l organisme doivent être informés de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données et des modalités d exercice des droits qui leur sont ouverts au titre de la loi «Informatique et Libertés» : droit d accès et de rectification mais aussi, droit de s opposer, sous certaines conditions, à l utilisation de leurs données. Cette information doit être diffusée, par exemple, au moyen d affiches apposées dans les services recevant du public et portée sur les formulaires établis par l établissement, ainsi que sur les courriers adressés aux personnes dont les données sont collectées. En pratique : Des modèles de mentions d information sont disponibles en annexe 3. b) Les droits d accès et de rectification Toute personne (élève, enseignant, personnel) peut demander communication de toutes les informations la concernant contenues dans un fichier détenu par l établissement et a le droit de faire rectifier ou supprimer les informations erronées. c) Le droit d opposition Toute personne a le droit de s opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire. Exemple : Le fichier de gestion administrative des élèves ou encore le fichier de gestion de prêts de livres de la bibliothèque présentent un caractère obligatoire à l inverse de l annuaire des anciens élèves. F i c h e n 2 : P r i n c i p e s d e l a p r o t e c t i o n d e s d o n n é e s p e r s o n n e l l e s 7

10 Fiche n 3 : Rôle de la CNIL pour défendre ces principes La Commission nationale de l informatique et des libertés, autorité administrative indépendante chargée d assurer le respect des dispositions de la loi «Informatique et Libertés» (5) a, à cet égard, deux missions principales : - informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligations ; - veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi «Informatique et Libertés». 1. le contrôle de la conformité à la loi des projets de fichiers et traitements La CNIL délivre des récépissés pour les déclarations de fichiers qui lui sont adressées, et dispose d un pouvoir d autorisation pour les traitements qui, présentent un caractère sensible en raison de leur finalité ou de la nature des données traitées (ex : recours à la biométrie ) La Commission peut simplifier les formalités déclaratives, voire exonérer de déclaration certains fichiers. Un mode d emploi détaillant les procédures existantes est présenté en annexe 1. La désignation d un correspondant «Informatique et Libertés» entraîne un allègement des formalités préalables (se reporter à la fiche n 4 du guide). 2. Le rôle de conseil et d information Le Service d Orientation et de Renseignement du Public de la CNIL conseille et renseigne les personnes et les organismes qui envisagent de mettre en œuvre des fichiers informatiques, que ce soit au téléphone, par courrier ou par ses publications. Lorsque de nouvelles technologies apparaissent, la CNIL procède à des études, élabore en concertation avec les milieux concernés des recommandations, le cas échéant propose des mesures législatives. Ces activités peuvent également être menées avec ses homologues en particulier européens. F i c h e n 3 : R ô l e d e l a C N I L p o u r d é f e n d r e c e s p r i n c i p e s 3. L instruction des plaintes. La CNIL reçoit les plaintes de toute personne concernant le non-respect de la loi et peut également s autosaisir. Selon la nature et l importance des manquements constatés, elle procède au règlement des plaintes soit par voie amiable, soit par la mise en œuvre de son pouvoir de sanction, soit en dénonçant les faits au procureur. (5) Les textes cités en référence (la loi «Informatique et Libertés», normes simplifiées applicables, délibérations et guides) sont disponibles sur le site web de la CNIL : Guide Pratique «Informatique et Libertés» 8

11 4. Le pouvoir de contrôle sur place La CNIL dispose d un pouvoir de contrôle qui permet à ses membres et ses agents d accéder à tous les locaux professionnels. Sur place, ses membres et agents peuvent demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données. 5. Le pouvoir de sanction Au titre de son pouvoir de sanction, la CNIL peut : - adresser des avertissements et des mises en demeure de faire cesser un manquement à la loi ; - prononcer une injonction de cesser le traitement ou un retrait de l autorisation et, en cas d urgence, décider l interruption du traitement ou le verrouillage des données ; - prononcer des sanctions pécuniaires pouvant aller jusqu à en cas de réitération ; - dénoncer au parquet les infractions à la loi dont elle a connaissance. F i c h e n 3 : R ô l e d e l a C N I L p o u r d é f e n d r e c e s p r i n c i p e s 9

12 Fiche n 4 : Correspondant Informatique et Libertés Institué à l occasion de la refonte de la loi «Informatique et Libertés», le Correspondant Informatique et Libertés est un acteur et un relais incontournable de la culture «informatique et libertés». qu est-ce que le Correspondant Informatique et Libertés? Le Correspondant Informatique et Libertés (CIL) a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant à l égard du directeur d établissement, que dans les rapports de ce dernier avec la CNIL. Le CIL occupe ainsi une place centrale dans le développement maîtrisé des nouvelles technologies de l information et de la communication. Pourquoi désigner un Correspondant Informatique et Libertés? La fonction de correspondant répond à un double objectif. Elle entraîne un allègement considérable des formalités auprès de la CNIL. Sa désignation permet en effet d être exonéré de l obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation et continuent à faire l objet de formalités. Le Correspondant Informatique et Libertés apporte une aide précieuse au directeur d établissement. Il contribue à une meilleure application de la loi et réduit ainsi les risques juridiques. Il a un rôle de conseil, de veille et d alerte en matière de déploiement des projets informatiques au sein de l établissement. Il joue également un rôle essentiel dans la formation et la sensibilisation des personnels de l établissement aux principes «informatique et libertés». quelles sont les compétences requises pour être Correspondant Informatique et Libertés? Le CIL peut être un employé de l établissement ou une personne externe (comme par exemple, un conseiller TICE, un consultant ). La loi a fixé des seuils pour déterminer les cas dans lesquels il est possible de choisir un CIL interne ou externe à l établissement. Ainsi, il existe une liberté de choix lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou qui y ont directement accès. Le choix est limité lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. En pratique, pour connaître le seuil applicable, il convient de déterminer le nombre de personnels qui sont chargés : - du développement et de la maintenance des applications (par exemple, le service informatique) ; F i c h e n 4 : C o r r e s p o n d a n t I n f o r m a t i q u e e t L i b e r t é s Guide Pratique «Informatique et Libertés» 10

13 - de la saisie des données ou de la consultation (exemple : service juridique, comptable, ou des ressources humaine). Le nombre de 50 personnes est apprécié au regard de l ensemble des applications informatiques mises en œuvre par l établissement. Exemple : il est possible de désigner un CIL pour plusieurs établissements dans lesquels plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. Dans ce cas, le CIL doit être une personne mandatée par un organisme représentant les établissements secondaires. La plupart des correspondants ont une formation informatique mais ce n est pas une obligation légale. L important est qu il puisse, si nécessaire, bénéficier d une formation tant technique que juridique, qui soit adaptée à la taille de l établissement. La CNIL n a pas à donner d agrément mais enregistre, la désignation et notifie celle-ci au responsable du traitement. Quel que soit le choix fait, l essentiel est qu il y ait une très bonne collaboration entre le CIL, le RSSI (Responsable de la Sécurité des Systèmes d Information), le CRI (Centre de Ressources Informatiques) et le service juridique de l établissement. Enfin, pour s acquitter de sa tâche, le Correspondant Informatique et Libertés doit disposer de la liberté d action et des moyens qui lui permettront de recommander des solutions organisationnelles ou techniques adaptées. Il doit pouvoir exercer pleinement ses missions, en dehors de toute pression, et jouer son rôle auprès du responsable du traitement. qui peut désigner un Correspondant Informatique et Libertés? Il appartient au chef d établissement d exercer un choix. La désignation d un correspondant est facultative et traduit l engagement du responsable du traitement à respecter les dispositions légales. En pratique : Pour toute information complémentaire sur le correspondant, sa désignation et ses missions, consulter le dossier «Correspondant» ou le «Guide du Correspondant Informatique et Libertés» sur le site internet de la CNIL. Vous pouvez également contacter le service de la CNIL en charge des correspondants. F i c h e n 4 : C o r r e s p o n d a n t I n f o r m a t i q u e e t L i b e r t é s 11

14 PARTIE 2 : FICHES PRATIQUES Fiche n 5 : Enregistrement et utilisation du numéro de sécurité sociale De quoi s agit-il? Le NIR, numéro d inscription au Répertoire National d Identification des Personnes Physiques (RNIPP), communément appelé numéro de sécurité sociale, est un élément d identification des personnes physiques. La gestion du NIR est confiée à l INSEE. En quoi les libertés sont-elles concernées? Que faire? Le NIR n est pas un numéro comme les autres. Il est particulier car il est : - signifiant il est composé d une chaîne de caractères qui permettent de déterminer le sexe, le mois et l année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l indication d une naissance à l étranger ; - unique et pérenne un seul numéro est attribué à chaque individu dès sa naissance a priori fiable il est certifié par l INSEE à partir des données d état civil transmises par les mairies. La loi «Informatique et Libertés» a toujours soumis à des exigences procédurales particulières l utilisation du NIR. En effet, les craintes suscitées par la généralisation d un identifiant national et unique qui rendrait plus aisées les possibilités de rapprochements de fichiers ont conduit le législateur à encadrer strictement l utilisation de ce numéro. Lorsqu un établissement envisage l enregistrement et/ou l utilisation du NIR, il doit tout d abord s assurer du fait que cette utilisation est légale. En effet, l enregistrement du numéro de sécurité sociale dans un traitement est notamment autorisé : - dans les fichiers de paie et de gestion du personnel pour l établissement des bulletins de paie et des différentes déclarations sociales obligatoires (décret n du 27 décembre 1991) ; - dans le cadre de la prise en charge des frais de maladie (articles R et R du code de la sécurité sociale). Exemple : L immatriculation des élèves à la sécurité sociale lors de l inscription dans l établissement conformément aux dispositions de l article L et L du code de la sécurité sociale pour les élèves inscrits en classe F i c h e n 5 : E n r e g i s t r e m e n t e t u t i l i s a t i o n d u n u m é r o d e s é c u r i t é s o c i a l e Guide Pratique «Informatique et Libertés» 12

15 préparatoire du second degré. Les états produits et les documents édités ne peuvent donc porter mention de ce numéro que dans le cadre des opérations décrites plus haut. Cette règle s applique même dans le cas de logiciels intégrés de gestion et de paie qui doivent être paramétrés pour limiter l utilisation du numéro de sécurité sociale à ces seules opérations. En particulier, le numéro de sécurité sociale ne fait pas partie de la liste des informations qui doivent figurer dans le registre unique du personnel, fixée par les articles L et R du code du travail, et ne doit donc pas être enregistré dans ce cadre. Le numéro de sécurité sociale d un employé ne peut donc pas être utilisé comme numéro de matricule unique pour l identifier dans tous les fichiers de gestion des ressources humaines de son entreprise ou de son administration. En dehors des cas évoqués ci-dessus, l utilisation du numéro de sécurité sociale ne peut être autorisée que dans le cadre d un décret en Conseil d Etat ou arrêté pris après avis de la CNIL. F i c h e n 5 : E n r e g i s t r e m e n t e t u t i l i s a t i o n d u n u m é r o d e s é c u r i t é s o c i a l e 13

16 Fiche n 6 : Utilisation de la photographie d une personne De quoi s agit-il? L utilisation de la photographie d une personne ou d un groupe de personnes est devenue une pratique courante au sein des établissements scolaires. Elle est, par exemple, apposée sur la carte de l élève, sur des articles publiés dans une revue ou un journal d école, sur un site internet, ou encore sur un trombinoscope. En quoi les libertés sont-elles concernées? Que faire? L image d une personne est considérée comme un attribut de sa personnalité ou encore comme un élément de l intimité de sa vie privée et elle est protégée au titre du droit au respect de la vie privée. Son utilisation en est dès lors strictement encadrée ; en effet, toute personne dispose sur son image et sur l utilisation qui en est faite, d un droit exclusif et peut s opposer à sa reproduction et à sa diffusion dès lors qu elle n y a pas préalablement consenti. Recueillir l accord des personnes photographiées La prise de photographies et leur diffusion doivent s effectuer dans le respect des règles relatives au droit à l image. Toute personne pouvant s opposer à la reproduction de son image, sur quelque support que ce soit (diffusion de son image sur un intranet, sur internet, etc.), la prise d une photographie et sa diffusion doivent faire l objet d un accord écrit de la personne concernée si elle est majeure ou de ses représentants légaux s il s agit d un élève mineur. Il appartient donc au responsable de traitement d obtenir toutes les autorisations utiles préalablement à l utilisation de photographies. Exemple de mention à insérer Il est envisagé de diffuser dans [le journal de l établissement, le site Internet ] des photos de votre enfant prises à l occasion des différents événements qui ponctuent la vie de l établissement. Pour ce faire, nous avons besoin de recueillir votre accord. Nous vous proposons donc de bien vouloir nous signifier si vous acceptez que des photos de vos enfants soient susceptibles d être diffusées sur le site à l aide du coupon joint. Nous vous rappelons que vous disposez d un droit d accès, de modification, de rectification et de suppression des données qui vous concernent conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée en Pour exercer ce droit, adressez-vous à [indiquez ici l adresse où les personnes peuvent exercer leur droit d accès et de rectification]. F i c h e n 6 : U t i l i s a t i o n d e l a p h o t o g r a p h i e d u n e p e r s o n n e Déclarer auprès de la CNIL Dès lors qu elle se rapporte à une personne identifiée ou identifiable, l image d une personne est une donnée à caractère personnel. Le traitement informatique de cette donnée (numérisation, diffusion à partir d un site web, etc.) doit s effectuer dans le respect de la loi «Informatique et Libertés» et donc être déclaré auprès de la CNIL sauf en cas de désignation d un Correspondant Informatique et Libertés. Guide Pratique «Informatique et Libertés» 14

17 Fiche n 7 : Mise en place d un annuaire des élèves De quoi s agit-il? La mise en place par une association d anciens élèves ou par l établissement lui-même d un annuaire des élèves est une pratique courante. En quoi mes libertés sont-elles concernées? Que faire? La création d un annuaire d anciens élèves peut, en pratique, soulever des difficultés au regard des principes «informatique et libertés» s agissant plus particulièrement des conditions dans lesquelles il a été constitué et de ses modalités de diffusion (papier, internet). En effet, la divulgation sur internet du nom et de l adresse personnelle des anciens élèves sans qu ils en aient été préalablement informés et mis en mesure de s y opposer peut comporter un risque pour leur vie privée. Ces informations peuvent, par exemple, être utilisées à leur insu notamment à des fins commerciales. Lorsque l établissement propose un formulaire d inscription à l annuaire, celui-ci devra préciser : la finalité de la collecte, à savoir la mise en place d un annuaire des élèves de l établissement, son caractère facultatif, les destinataires des données et les modalités d exercice des droits d accès, de rectification et d opposition aux données. Dans l hypothèse où l annuaire serait accessible sur internet, les anciens élèves doivent en être préalablement informés et mis en mesure de s opposer à la diffusion de leurs coordonnées. Il est recommandé que l accès à l annuaire via internet soit strictement réservé aux anciens élèves (exemple : attribution de code d accès). Il est également souhaitable que le formulaire d inscription puisse permettre à l élève d indiquer les informations qu il souhaite ne pas voir diffusées (exemple : son adresse personnelle) tant sur la version web que sur la version papier de l annuaire. Ces données ne restent alors accessibles qu au service chargé de la tenue de l annuaire. Un ancien élève qui aura été recontacté individuellement (lors d un événement professionnel par exemple) pourra se voir proposer le formulaire d inscription à l annuaire. Chaque année, un courrier électronique ou postal doit être envoyé à chacun des élèves inscrits sur l annuaire, leur rappelant les modalités de mise à jour de leurs données personnelles, ainsi que celles de désinscription. Si ce courrier revient en NPAI (N habite Plus A l Adresse Indiquée), toutes les données relatives à cet ancien élève doivent être supprimées. Il est important également de veiller à insérer une mention légale sur l annuaire qui précise qu en aucun cas les données qu il contient ne peuvent être exploitées à F i c h e n 7 : M i s e e n p l a c e d u n a n n u a i r e d e s é l è v e s 15

18 des fins commerciales ou politiques sauf indication explicite en sens contraire de la personne concernée. En pratique : Les associations d anciens élèves L établissement scolaire peut communiquer la liste de ses anciens élèves à ces associations dès lors que les intéressés ont, d une part, été préalablement informés de cette transmission les concernant et ont, d autre part, eu la possibilité de s y opposer. Par ailleurs, l établissement peut, par voie d affichage et plus particulièrement lors de la publication des résultats, informer les diplômés de l existence d associations d anciens élèves et des modalités d inscription via par exemple le site web de l association. F i c h e n 7 : M i s e e n p l a c e d u n a n n u a i r e d e s é l è v e s Guide Pratique «Informatique et Libertés» 16

19 Fiche n 8 : Enquêtes statistiques portant sur le devenir professionnel et le suivi de cohortes d élèves De quoi s agit-il? La mise en place des indicateurs de performances dans le cadre de la LOLF et la nécessité d adapter au mieux l offre de formation contribuent au développement d enquêtes de suivi de cohorte d élèves. En effet, suivre le parcours des élèves dans le cadre d un suivi de cohorte est l occasion d observer dans la durée le devenir des bacheliers et de mieux comprendre leur orientation. Le plus souvent, les informations à caractère personnel nécessaires à la réalisation de ce suivi seront extraites de la base de gestion des élèves et peuvent être complétées par des enquêtes auprès des élèves (ex. : connaître pour chaque bachelier, sortant de lycée, son devenir professionnel 18 mois et 3 ans après l obtention du diplôme). Les informations recueillies sont ensuite utilisées et analysées dans un but statistique. En quoi les libertés sont-elles concernées? Que faire? Si la légitimité de ce type d études ne saurait être remise en question, elles doivent cependant être réalisées dans le respect des droits des personnes (information préalable, droit d accès, de rectification et d opposition). En outre, le risque d une exploitation des données à des fins autres que celle d un suivi de cohorte étant toujours possible, une attention particulière doit être apportée aux mesures prises pour assurer la sécurité et la confidentialité de ces traitements et notamment garantir l anonymat des réponses. Les responsables de ces études doivent veiller à la mise en place des mesures suivantes : - une information préalable des élèves relative à la mise en place de ce type d études au sein de l établissement doit être prévue. Celle-ci peut par exemple être réalisée au moment de l inscription de l élève ; - le questionnaire d enquête adressé aux (anciens) élèves doit : rappeler les mentions de la loi «Informatique et Libertés» ; celles-ci doivent également figurer sur la lettre d accompagnement ; indiquer qu il est facultatif et confidentiel ; comporter des questions qui restent pertinentes et adaptées au regard de la finalité de l enquête ; F i c h e n 8 : E n q u ê t e s s t a t i s t i q u e s p o r t a n t s u r l e d e v e n i r p r o f e s s i o n n e l e t l e s u i v i d e c o h o r t e s d é l è v e s 17

20 - une fois l enquête considérée comme terminée, les informations personnelles détenues par le responsable de l enquête doivent être détruites ou archivées ; seuls les résultats statistiques peuvent être conservés ; - les statistiques nécessaires seront réalisées par des personnes habilitées à utiliser la base de gestion des élèves ; - une information sur l enquête devra être présentée régulièrement «au fil de l eau» : journal de l établissement, présentation des résultats lors des «journées scolarité», des réunions d accueil des anciens élèves Se reporter à l annexe 1 «Mode d emploi : comment déclarer?» qui précise les cas dans lesquels ces traitements relèvent du régime de la déclaration normale ou de la demande d autorisation. F i c h e n 8 : E n q u ê t e s s t a t i s t i q u e s p o r t a n t s u r l e d e v e n i r p r o f e s s i o n n e l e t l e s u i v i d e c o h o r t e s d é l è v e s Guide Pratique «Informatique et Libertés» 18

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS É d i t i o n 2 0 1 0 Sommaire Avant-propos page 2 I Les 5 principes clés à respecter page 3 II Les missions de la CNIL page 6 III Le correspondant (CIL) : un

Plus en détail

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

DU CORRESPONDANT INFORMATIQUE ET LIBERTES DU CORRESPONDANT INFORMATIQUE ET LIBERTES Édition 2011 Sommaire AvAnt-propos page 2 Fiche n 1 - les 6 bonnes raisons de désigner un CIL page 3 Fiche n 2 - les services à disposition du CIL page 4 Fiche

Plus en détail

Mesurer pour progresser vers l égalité des chances GUIDE MÉTHODOLOGIQUE À L USAGE DES ACTEURS DE L EMPLOI

Mesurer pour progresser vers l égalité des chances GUIDE MÉTHODOLOGIQUE À L USAGE DES ACTEURS DE L EMPLOI Mesurer pour progresser vers l égalité des chances GUIDE MÉTHODOLOGIQUE À L USAGE DES ACTEURS DE L EMPLOI Ont notamment contribué à la réalisation de cet ouvrage CNIL : Yann PADOVA, Marie-Hélène MITJAVILE,

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL AFRICAN UNION UNION AFRICAINE UNIÃO AFRICANA P.O. Box: 3243, Addis Ababa, Ethiopia,

Plus en détail

VOLONTAIRES EN SERVICE CIVIQUE GUIDE À DESTINATION DES ORGANISMES D ACCUEIL

VOLONTAIRES EN SERVICE CIVIQUE GUIDE À DESTINATION DES ORGANISMES D ACCUEIL VOLONTAIRES EN SERVICE CIVIQUE GUIDE À DESTINATION DES ORGANISMES D ACCUEIL WWW.SERVICE-CIVIQUE.GOUV.FR Le Service Civique en bref La loi du 10 mars 2010 relative au Service Civique a créé deux formes

Plus en détail

Usagers, vos droits. Charte de la personne hospitalisée

Usagers, vos droits. Charte de la personne hospitalisée Usagers, vos droits Charte de la personne hospitalisée Usagers, vos droits Charte de la personne hospitalisée l objectif de la présente charte est de faire connaître aux personnes malades, accueillies

Plus en détail

ÙË ÜÛ ÓÛÍËÎÛÍ ÐÑËÎ ÌÎß ÌÛÎ ÔÛÍ Î ÍÏËÛÍ ÍËÎ ÔÛÍ Ô ÞÛÎÌWÍ ÛÌ Ôß Ê Û ÐÎ ÊWÛ W ¼ ± ² î ð ï î

ÙË ÜÛ ÓÛÍËÎÛÍ ÐÑËÎ ÌÎß ÌÛÎ ÔÛÍ Î ÍÏËÛÍ ÍËÎ ÔÛÍ Ô ÞÛÎÌWÍ ÛÌ Ôß Ê Û ÐÎ ÊWÛ W ¼ ± ² î ð ï î ÙË ÜÛ ÓÛÍËÎÛÍ ÐÑËÎ ÌÎß ÌÛÎ ÔÛÍ Î ÍÏËÛÍ ÍËÎ ÔÛÍ Ô ÞÛÎÌWÍ ÛÌ Ôß Ê Û ÐÎ ÊWÛ W ¼ ± ² î ð ï î Sommaire AVANT PROPOS... 4 1. AGIR SUR LES ELEMENTS A PROTEGER... 5 1.1. Minimiser les DCP... 5 1.2. Gérer les durées

Plus en détail

MAÎTRISER LES RISQUES DE L INFOGÉRANCE

MAÎTRISER LES RISQUES DE L INFOGÉRANCE MAÎTRISER LES RISQUES DE L INFOGÉRANCE Externalisation des systèmes d information Introduction Dans le domaine des systèmes d'information, le recours à l externalisation est devenu une pratique courante

Plus en détail

Journal officiel de l Union européenne L 300/51

Journal officiel de l Union européenne L 300/51 14.11.2009 Journal officiel de l Union européenne L 300/51 RÈGLEMENT (CE) N o 1071/2009 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 21 octobre 2009 établissant des règles communes sur les conditions à respecter

Plus en détail

ADOPTER UN ENFANT. Guide à l usage des futurs adoptants

ADOPTER UN ENFANT. Guide à l usage des futurs adoptants Ministère des solidarités et de la cohésion sociale ADOPTER UN ENFANT Guide à l usage des futurs adoptants Ce guide constitue la mise à jour du "guide pratique à l'usage des adoptants" élaboré grâce au

Plus en détail

Pour un renouveau démocratique

Pour un renouveau démocratique Pour un renouveau démocratique Statut juridictionnel du chef de l État et des ministres Élection des députés et des sénateurs Élection présidentielle Prévention des conflits d intérêts Cumul des mandats

Plus en détail

GUIDE DU RECENSEMENT ECONOMIQUE DE L ACHAT PUBLIC Version du 1 er janvier 2015

GUIDE DU RECENSEMENT ECONOMIQUE DE L ACHAT PUBLIC Version du 1 er janvier 2015 Direction des affaires juridiques Direction générale des finances publiques GUIDE DU RECENSEMENT ECONOMIQUE DE L ACHAT PUBLIC Version du 1 er janvier 2015 AVERTISSEMENT Le présent guide est disponible

Plus en détail

L apprentissage. la fonction publique territoriale. dans. Guide pratique à l usage des services ressources humaines

L apprentissage. la fonction publique territoriale. dans. Guide pratique à l usage des services ressources humaines L apprentissage dans la fonction publique territoriale Guide pratique à l usage des services ressources humaines Version n 2-2010 > Sommaire L apprentissage dans la fonction publique territoriale Ce

Plus en détail

Droits des usagers des institutions sociales et médico-sociales Quels effets sur les pratiques des professionnels?

Droits des usagers des institutions sociales et médico-sociales Quels effets sur les pratiques des professionnels? D O S S I E R Octobre 2002 129 Droits des usagers des institutions sociales et médico-sociales Quels effets sur les pratiques des professionnels? La loi du 2 janvier 2002 rénovant l action sociale et médico-sociale

Plus en détail

Photos: Istock.com : Jason Lugo, prezioso, Brzi, LeggNet, ermess, diverroy, uchar, chris_tack, ArtmannwWitte, gioadventures, oonal, mattabe

Photos: Istock.com : Jason Lugo, prezioso, Brzi, LeggNet, ermess, diverroy, uchar, chris_tack, ArtmannwWitte, gioadventures, oonal, mattabe L asbl 2 Photos: Istock.com : Jason Lugo, prezioso, Brzi, LeggNet, ermess, diverroy, uchar, chris_tack, ArtmannwWitte, gioadventures, oonal, mattabe AVANT-PROPOS La Constitution prévoit la liberté d association.

Plus en détail

LA COUR EUROPEENNE DES DROITS DE L HOMME QUESTIONS / RÉPONSES DESTINÉES AUX AVOCATS

LA COUR EUROPEENNE DES DROITS DE L HOMME QUESTIONS / RÉPONSES DESTINÉES AUX AVOCATS LA COUR EUROPEENNE DES DROITS DE L HOMME QUESTIONS / RÉPONSES DESTINÉES AUX AVOCATS 0 14 1 2 3 Ce guide s adresse aux avocats qui envisagent de saisir la Cour européenne des droits de l homme. Il contient

Plus en détail

CIRCULAIRE DRT n 2006/10 du 14 avril 2006 relative à la sécurité des travailleurs sur les sites à risques industriels majeur s

CIRCULAIRE DRT n 2006/10 du 14 avril 2006 relative à la sécurité des travailleurs sur les sites à risques industriels majeur s Ministère de l emploi, de la cohésion sociale et du logement Direction des relations du travail Sous direction des conditions de travail et de la protection contre les risques du travail Bureau des conditions

Plus en détail

Sans-papiers, mais pas sans droits

Sans-papiers, mais pas sans droits gisti, les notes pratiques Sans-papiers, mais pas sans droits 6 e édition groupe d information et de soutien des immigré e s Sommaire Comment utiliser cette publication? 2 La notion de sans-papiers 3 Aide

Plus en détail

GUIDE LA PUB SI JE VEUX!

GUIDE LA PUB SI JE VEUX! GUIDE LA PUB SI JE VEUX! Édition 2011 Sommaire Avant-propos Ce que vous devez savoir Vos droits Comment éviter de recevoir des publicités? La prospection commerciale par courrier électronique, télécopie

Plus en détail

Union Nationale des Centres Communaux d Action Sociale

Union Nationale des Centres Communaux d Action Sociale La mise en œuvre du dispositif canicule par les CCAS-CIAS Union Nationale des Centres Communaux d Action Sociale Sommaire Introduction... p 4 Chapitre I CCAS-CIAS et plan national canicule... p 5 Le plan

Plus en détail

Tout ce que vous avez toujours voulu savoir sur l accès à l information environnementale sans avoir jamais osé le demander

Tout ce que vous avez toujours voulu savoir sur l accès à l information environnementale sans avoir jamais osé le demander Tout ce que vous avez toujours voulu savoir sur l accès à l information environnementale sans avoir jamais osé le demander L.Coudercy Version 2, 08-2010 L.Coudercy Version 2, 08-2010 Avertissement... 2

Plus en détail

L apprentissage dans la fonction publique de l État

L apprentissage dans la fonction publique de l État MINISTÈRE DE LA DÉCENTRALISATION ET DE LA FONCTION PUBLIQUE 2015 L apprentissage dans la fonction publique de l État Guide pratique à l usage des services de ressources humaines Outils de la GRH Edito

Plus en détail

Organisation de la téléradiologie. Guide pour le bon usage professionnel et déontologique de la téléradiologie

Organisation de la téléradiologie. Guide pour le bon usage professionnel et déontologique de la téléradiologie Organisation de la téléradiologie Guide pour le bon usage professionnel et déontologique de la téléradiologie élaboré par le Conseil Professionnel de la Radiologie (G4) et par le Conseil national de l

Plus en détail

.PREFACE. Le Président de l Université d Auvergne. Dominique TURPIN

.PREFACE. Le Président de l Université d Auvergne. Dominique TURPIN .PREFACE J ai le plaisir de vous présenter ce vademecum juridique de la recherche conçu à l attention des personnels enseignants-chercheurs, chercheurs, personnels administratifs et techniques de l Université

Plus en détail

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE Circulaire du 26 septembre 2014 de présentation des dispositions de la loi n 2014-344 du 17 mars 2014 relative à la consommation et du décret n 2014-1081 du 24 septembre 2014 relatif à l action de groupe

Plus en détail

Vademecum Bien-être au travail

Vademecum Bien-être au travail Vademecum Bien-être au travail Vademecum Bien-être au travail 3 4 HOMMES / FEMMES Les références aux personnes et fonctions au masculin visent naturellement aussi bien les hommes que les femmes. ....................................................................................................................................................................................................

Plus en détail

LA COMMANDE DE DESIGN GRAPHIQUE

LA COMMANDE DE DESIGN GRAPHIQUE 1. Design graphique : GUIDES DE L ART CONTEMPORAIN création graphique, besoins, solution visuelle 2. Designer graphique, prestation intellectuelle, prestation de service 3. Expérience, connaissan vision,

Plus en détail

CRÉER SON ASSOCIATION

CRÉER SON ASSOCIATION LES GUIDES CONSEILS DE LA CAISSE D EPARGNE CRÉER SON ASSOCIATION Du projet aux statuts CAISSE D EPARGNE Tout le monde a entendu parler des associations, connaît quelqu un qui est bénévole ou membre d une

Plus en détail

Procédure Juridique de mise en place d une base de données biométriques

Procédure Juridique de mise en place d une base de données biométriques Procédure Juridique de mise en place d une base de données biométriques Par Anne-Gaëlle LEFEBVRE Pour l Association BioSEcure - 1 - Juin 2009 Table des Matières TABLE DES MATIERES...2 INTRODUCTION :...3

Plus en détail